Wie läuft ein Penetrationstest ab?
Schreiber: Bei allen Penetrationstests wird zunächst ein Angriffsszenario festgelegt. Dabei gilt es zu klären, was angegriffen werden soll - eine SAP-Landschaft, eine Kundendatenbank oder Ähnliches. Zudem wird definiert, aus welcher Perspektive der Angriff erfolgen soll, also wo wir den zu simulierenden Täter platzieren. Das kann aus dem Internet passieren oder aus dem internen Netzwerk heraus, aber auch über ein Kundenportal, bei dem sich der Täter anmeldet.
Zu den klassischen Zielen von Penetrationstests zählen Webapplikationen, mobile Apps, SAP-Landschaften, Active Directories oder WLAN-Netze. Mit der zunehmenden Vernetzung durch das IoT werden wir aber auch immer häufiger beauftragt, Kraftfahrzeuge oder Schiffe anzugreifen. Dazu müssen wir dann andere Vorgehensweisen wählen.
Greifen nur digital an, oder versuchen Sie beispielsweise auch als Service-Techniker oder Pizzalieferant in die Unternehmen einzudringen?
Schreiber: Auch Letzteres. Der Klassiker ist zwar der digitale Angriff, aber es gibt Branchenstandards, die Penetrationstests erzwingen, bei denen auch die physikalische Widerstandskraft eines Gebäudes untersucht wird, sogenannte Physical Assessments. Da gilt es Fragen zu klären wie: Kommt man an einem Rolltor vorbei? Hat man die Möglichkeit, sich in die Tiefgarage zu schleichen? Kann man sich als Gast in fremden Gebäuden unbeobachtet bewegen?
PenTester greifen wirklich an
Was ist bei einem Penetrationstest im Vorfeld zwischen Ihnen und dem Auftraggeber zu klären?
Schreiber: Ein Penetrationstest ist eine simulierte Cyberattacke. Das heißt, wir greifen wirklich an. Das Wichtigste ist eine offene und klare Kommunikation zwischen uns und dem Kunden, damit sichergestellt ist, dass wir einander verstanden haben. Der Kunde muss genau wissen, was wir zur Vertragserfüllung tun. Dazu braucht es eine detaillierte Dokumentation und auch Rückfragen, ob alles richtig verstanden worden ist.
Wenn Sie an das letzte halbe Jahr zurückdenken, können Sie eine Tendenz feststellen, was die Unternehmen häufig von Ihnen getestet haben wollen?
Schreiber: Eigentlich fragen die Kunden alles an. Wir merken aber, dass gerade Banken und Versicherungen mehr Penetrationstests wünschen. Von der Prüfmethodik her ist es gerade in, sogenannte Red-Teaming-Tests durchzuführen. Darunter sind "Open-Scope-Penetrationstests" zu verstehen, bei denen uns nicht genau vorgegeben ist, wie wir vorgehen sollen. Wir sollen auf eine kreative Art und Weise zum Beispiel versuchen, eine Kundendatenbank zu stehlen.
Da können Sie sich also selbst überlegen, ob Sie das etwa mit einer SQL-Injection versuchen oder mit einer anderen Angriffstechnik?
Schreiber: Richtig. Das spannende beim Red-Team-Testing ist, dass es komplett uns überlassen ist, wie und was wir angreifen - auch, weil diese Tests meist verdeckt ablaufen. Da können wir festlegen, ob wir uns in das Büro reinschleichen und ein Hardwareimplantat in das Netzwerk einbringen, das es uns erlaubt, gemütlich aus unserem Office zuzugreifen. Wir können aber genauso Phishing-E-Mails verschicken, den Perimeter abscannen oder über das Kundenportal gehen.
Bei einem klassischen Penetrationstest wird genau definiert, wann wir wie welche Systeme von wo aus angreifen, welche Passwörter wir haben und Ähnliches.
Red-Team-Tests sind meistens erfolgreich
Warum ist Red-Teaming gerade so beliebt?
Schreiber: Zum einen gibt es Branchenstandards, die solche Tests erzwingen. Die Bankenbranche muss aufgrund von Regularien Red-Teaming-Tests vornehmen.
Zum anderen sind solche Tests sehr erfolgreich. Bislang sind wir jedes Mal reingekommen. Das klappt beim normalen Penetrationstest nicht immer. Zudem ist der Red-Teaming-Test realistisch, weil der Täter sich ja auch unabhängig vom Opfer überlegt, wann er was wie angreift. Für Kunden sind solche Tests also immer erhellend.
Können Sie sich auch bei Banken immer Zutritt verschaffen?
Schreiber: Nahezu immer und über verblüffende Wege. Da denkt der Kunde vielleicht, es sei schwierig über die SAP-Landschaft einzudringen, und in Wirklichkeit steigen wir über die Funktastaturen ein und können auf diesem Weg einen Trojaner installieren oder Ähnliches.
Treffen Sie in den Unternehmen auf Widerstände, wenn Sie mit Tests beauftragt werden?
Schreiber: Ganz selten. Die allermeisten unserer Kunden haben glücklicherweise eine gelebte Fehlerkultur. Wenn wir in ein Unternehmen eindringen, bedeutet das zwar, dass in der Security ein Fehler gemacht worden ist, aber deshalb werden keine Köpfe rollen. In unseren Berichten nennen wir keinerlei Mitarbeiternamen. Vielmehr wird der Fehler kritisch betrachtet und sichergestellt, dass er in Zukunft nicht mehr vorkommt. Das hängt damit zusammen, dass die Firmen, die uns beauftragen, bereits eine Awareness für Security und den richtigen Umgang mit eigenen Fehlern haben. Außerdem raten wir immer, dass auch verdeckte Tests vorab der Belegschaft angekündigt werden. Dies erhöht die Akzeptanz solcher Tests.
Von wem werden Sie in der Regel beauftragt?
Schreiber: Das kann der CISO sein oder auch die interne Revision. Oft heuern uns auch Projektleiter an, die vor dem Live-Gang einer Anwendung einen Penetrationstest möchten, um die Qualität zu prüfen.
Für welche Unternehmen ist ihr Service geeignet?
Schreiber: Eigentlich für alle. Wir haben Unternehmen mit 50, aber auch Unternehmen mit 500.000 Mitarbeitern als Kunden. Dabei wird der Angriff auf die Größe angepasst. Große Unternehmen brauchen meist umfassendere Projekte, die entsprechend mehr kosten, weil sie eine größere IT haben und abhängiger von ihr sind. Beim Red-Teaming-Test setzen wir beispielsweise 80 Personentage an, in denen wir versuchen einzudringen. Bei einem kleinen Betrieb mit niedrigerem Budget würden wir das gleiche beispielsweise mit 40 Personentagen ansetzen.
Was machen Unternehmen mit den Ergebnissen, die sie von Ihnen erhalten?
Schreiber: Erst einmal beheben alle die gefundenen Schwachstellen. Das ist meist relativ kostengünstig und hat einen sofortigen Effekt. Viele Unternehmen lernen aber auch längerfristig und überlegen sich, dass sie eigentlich eine ordentliche IT haben sollten, die nicht angreifbar ist und sicherstellt, dass Schwachstellen dieser Art nie wieder vorkommen.
Begleiten Sie die Unternehmen dann auch weiter bei den Maßnahmen oder übergeben Sie das dann an die interne IT?
Schreiber: Wir sind nur der Sparringspartner. Wir finden und dokumentieren die Schwachstellen und der Kunde behebt sie. Alles andere wäre nicht lauter. Wir können nicht einerseits die Schwachstellen finden und danach damit betraut werden, sie zu schließen. Da hätten wir Interessenskonflikte und das würde uns auch niemand abnehmen.
Gute Planung ist das A und O
Wie sollte sich ein Unternehmen vorbereiten, wenn es Ihre Dienste in Anspruch nehmen will?
Schreiber: Zunächst muss es sich überlegen, was geprüft werden soll. Dazu stellen viele Unternehmen einen Jahresplan auf. Typisch sind zum Beispiel vier Tests von jeweils zehn Tagen - also ein Test pro Quartal.
Dann gilt es, die Szenarien festzulegen und dafür zu sorgen, dass für das investierte Geld möglichst viele Resultate erzielt werden können. Dazu sollten die Stichproben definiert werden - was wird dieses Jahr getestet, was nächstes Jahr. Wenn im kommenden Jahr beispielsweise die VoIP-Struktur ohnehin ersetzt werden soll, macht es keinen Sinn, sie im vierten Quartal dieses Jahres noch zu testen.
Abschließend wird definiert, über wie viele Tage die Tests laufen, in welchen Mengen Berichte auf Deutsch oder Englisch abgeliefert werden, wann und wie lange der Consultant vor Ort ist, wie oft aus dem Internet angegriffen werden soll etc.
Wie lang dauert diese Planungsphase in der Regel?
Schreiber: Wenn es gut läuft sechs bis acht Wochen. Oft will der Kunde den Test aber sofort haben. Das können wir zwar auch anbieten aber je besser das Projekt vorbereitet ist, desto hochwertiger sind die Ergebnisse. Wir bestehen immer darauf, dass trotz aller Eile die Tests ordnungsgemäß ablaufen. Wenn der Kunde Abkürzungen nehmen will, müssen wir ihn auch schon mal mitteilen, dass es kein gutes Projekt werden wird. Verlangt er etwa, schon in der nächsten Woche etwas testen zu lassen, das in der Amazon-Cloud liegt, dann geht das nicht, weil man bei solchen Maßnahmen Amazon vorher Bescheid geben und sich das Okay einholen muss.